對于圓通“內鬼”致40萬條個人信息泄露的報道，圓通速遞11月17日回應稱，調查發(fā)現(xiàn)，疑似有加盟網(wǎng)點個別員工與外部不法分子勾結，利用員工賬號和第三方非法工具竊取運單信息，導致信息外泄。圓通對此案件所暴露的問題深表歉意。

在這起信息泄露事件中，圓通應該承擔什么責任？被泄露信息的用戶可以索賠嗎？中國互聯(lián)網(wǎng)協(xié)會法治工作委員會副秘書長胡鋼對中新經(jīng)緯客戶端分析，用戶與圓通速遞發(fā)生合同買賣關系，但由于圓通速遞管理不嚴、保管不善，造成用戶信息泄露，圓通速遞應承擔相應的民事賠償責任。

圓通承認“公民個人信息外泄”

據(jù)新京報，邯鄲市公安局近期偵辦發(fā)現(xiàn)，有不法分子與圓通快遞邯鄲區(qū)多位“內鬼”勾結，通過有償租用圓通員工系統(tǒng)賬號盜取公民個人信息，再層層倒賣公民個人信息至不同下游犯罪人員。

據(jù)了解，被泄露的信息中包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址六個維度。據(jù)新京報援引知情人士透露，如果以上述六個維度的信息共同組成一條信息來計算，此次被泄露的信息數(shù)量實際超過40萬條。據(jù)該人士透露，經(jīng)過警方和檢察院確認，被泄露信息中，存在某個維度以“*”來匿去的“不完全信息”，例如發(fā)件人為“張三”，但發(fā)件電話卻為“*”。經(jīng)過統(tǒng)計，六個維度完整的信息約為4萬五千條。據(jù)馬某杰供述，他將收集到的信息打包賣出，每條信息單價約為1元。

11月17日早間，圓通速遞對此作出回應。圓通方面表示，2020年7月底，公司總部實時運行的風控系統(tǒng)監(jiān)測到，河北省區(qū)下屬加盟網(wǎng)點有兩個賬號存在非該網(wǎng)點運單信息的異常查詢，判斷為明顯的異常操作，于第一時間關閉風險賬號，同時立即成立由質控、安保、信息中心、網(wǎng)管等部門及河北省區(qū)組成的調查組，對此事件開展取證調查。調查發(fā)現(xiàn)，疑似有加盟網(wǎng)點個別員工與外部不法分子勾結，利用員工賬號和第三方非法工具竊取運單信息，導致信息外泄，其中存在敏感字段信息約為4萬3千條。

圓通方面稱公司隨后向當?shù)毓膊块T報案，并全力配合調查。相關犯罪嫌疑人于9月落網(wǎng)。

律師：圓通速遞承擔相應民事賠償責任

胡鋼表示，目前依據(jù)《反恐法》《郵政法》規(guī)定，用戶收發(fā)快遞必須實名制，郵政企業(yè)、快遞公司有義務要求用戶提供真實的個人信息。法律同時規(guī)定，在這種情況下，快遞公司必須嚴格保護公民個人信息。從此次圓通被泄露的信息中也可以看出，快遞信息一般包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址六個維度，均為敏感的個人信息。

胡鋼表示，目前即將實施的《民法典》、《消費者權益保護法》及《網(wǎng)絡安全法》中均對個人信息保護提出了明確要求，收集、使用均要遵循合法正當必要原則?！缎谭ā访魑囊?guī)定了侵犯公民個人信息罪。違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！跋嚓P責任人，比如在公司內部沒有采取保護措施，或者放任手下去出售個人信息，或沒有采取有效措施及時制止手下出售個人信息行為，也要承擔相應的刑事責任。”

胡鋼表示，值得提出的是，除了直接、相關責任人需承擔相應刑事責任外，公司經(jīng)營者如圓通速遞，要承擔相應的民事賠償責任。胡鋼說，“用戶與圓通速遞發(fā)生買賣合同關系，并不是與圓通速遞加盟網(wǎng)點員工發(fā)生合同關系，用戶出于對企業(yè)信任，將個人信息提交，結果由于公司管理不嚴、保管不善，造成用戶信息泄露及潛在損失，用戶理應提出民事賠償要求?！?/p>

至于如何賠償，胡鋼表示很難確定。“《消費者權益保護法》第55條有規(guī)定，如果存在消費欺詐，賠償應按照退一賠三，最低500元執(zhí)行，我認為至少應按照500元賠付?！焙摻ㄗh，負責偵破案件的公安機關應披露泄露信息的時間、區(qū)域等大致范圍，讓用戶知曉自己可能是受害者。“用戶也可以通過個人訴訟、公益訴訟、代表人訴訟等方式，提出民事賠償要求。

北京市京師事務所律師孟博對中新經(jīng)緯客戶端表示，《網(wǎng)絡安全法》規(guī)定，網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失；在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。企業(yè)若違反該規(guī)定，需承擔相應法律責任。

從圓通公司的回應來看，此次事件涉及“內外勾結”作案。孟博表示，按照《刑法》規(guī)定，對于將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的行為，從重處罰。

快遞信息泄露現(xiàn)象由來已久

快遞信息泄露、被販賣現(xiàn)象一直是媒體關注的焦點。

2012年11月，有媒體報道，快遞單號的信息被大面積泄露，甚至衍生出多個專門交易快遞單號信息的網(wǎng)站。這些交易網(wǎng)站顯示，被交易的快遞單號來自包括申通、圓通、中通、韻達在內的多個快遞公司。

2013年8月，央視曾報道，一份填寫完整的快遞單，在網(wǎng)上可賣到四毛錢一張。而在線下，快遞網(wǎng)點也有販賣面單的情況，購買者多是電商賣家，通過購買快遞單上的單號等信息制造虛假交易而提高信譽。被曝光的快遞公司有圓通、申通、天天快遞等。

2018年，上海嘉定警方破獲了一起快遞員私自販賣底單的案子?？爝f員付某以1萬張快遞底單150元的價格賣給了某家健身房銷售人員。最終付某和健身房銷售韋某，因涉嫌侵犯公民個人信息，被嘉定警方刑事拘留。

有網(wǎng)絡信息安全資深業(yè)內人士分析，因為快遞行業(yè)的面單信息涉及的不單是姓名、電話號碼，還有更有敏感的家庭住址等信息，屬于犯罪分子看來“信息變現(xiàn)能力最強”的類型，所以信息泄露后往往會流向詐騙渠道，造成更大的危害。例如，這些信息目前經(jīng)常出現(xiàn)在“到付詐騙”等精準騙局中。

胡鋼認為，對于快遞行業(yè)發(fā)生的用戶個人信息泄露，必須追究相應責任人的刑事責任、行政責任和民事責任?！盁o論是意識上的，還是技術上的，或者管理制度上，任何漏洞都應該堵住。同時有損失一定要賠償，要賠到每一個人，否則此類事情以后會無限發(fā)生?！焙撜f。